Вставка текста в базу данных, как позаботиться о '

Question

Привет Я вставляю общие комментарии в свою базу данных динамически. и мой запрос выглядит следующим образом:

String sql = "insert into table (comment) values('"+ dynamic_comment + "');"; 

Я получаю сообщение об ошибке, когда использование вставить что-то вроде этого:

Я делаю большой

becuase в то время мой запрос становится:

insert into table (comment) values('I'm doing great'); 

«Я делаю большой»

Error: Caused by: android.database.sqlite.SQLiteException: near "t": 
syntax error (code 1): , while compiling: 
insert into timeline(comment) values('Can't belive it really works'); 

Может кто-нибудь сказать мне, как решить эту проблему, и как многие другие проблемы, которые я могу столкнуться, как это при работе с базой данных.

спасибо

Answer 1

Вы должны использовать подготовленные заявления, конкатенации сырые строки в запросах теперь была плохая практика в течение очень долгого времени.

От here:

SQLiteDatabase db = dbHelper.getWritableDatabase(); 
SQLiteStatement stmt = db.compileStatement("insert into table (comment) values(?)"); 
stmt.bindString(1, dynamic_comment); 
stmt.execute(); 

Answer 2

Перед вставкой вам нужно избежать вашей строковой переменной.

String sql = "insert into table (comment) values('"+ DatabaseUtils.sqlEscapeString(dynamic_comment) + "');"; 

---

Описанный выше метод склонен к SQL инъекции атак. Чтобы быть на более безопасной стороне, узнайте больше об использовании parametric statements.

Образец для того же самого запроса, как у вас будет:

SQLiteDatabase db = dbHelper.getWritableDatabase(); 
SQLiteStatement stmt = db.compileStatement("INSERT INTO `table` (`comment`) values(?)"); 
stmt.bindString(1, dynamic_comment); 
stmt.execute();